Alexandre Опубликовано 6 января, 2006 Жалоба Поделиться Опубликовано 6 января, 2006 Нужен лог HijackThis Добрый день! Я убрал эту дурацкую надпись, но не совсем правильным способом: сменил пользователя, перенес все документы и прочее, а старую учетную запись стер, но вот вопрос: заразу я же не убрал с компа? да и комп как то медленно стал работать. Делал все как вы совнтовали и вот что осталось в компе высылаю вам, посмотрите что можно еще сделать? Logfile of HijackThis v1.99.1 Scan saved at 09:11:25, on 06/01/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Program Files\Real\RealPlayer\RealPlay.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\Alexandre Borisovski\Bureau\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra button: Sites Perso - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing) O9 - Extra 'Tools' menuitem: Compaq France - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing) O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: GBPoll - Unknown owner - C:\Program Files\Roxio\GoBack\GBPoll.exe (file missing) O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
илья Опубликовано 6 января, 2006 Жалоба Поделиться Опубликовано 6 января, 2006 :) Помогите и мне плиззззз!!! Вчера вечером получил эту "прелесть" на свой ноутбук и ни что не может заставить прогнать ее с моего бедного компьютера((( Вот сидел до утра пытаясь использовать все приведенные в инете способы по удалению этого secure32, но лишь наткнувшись на ваш форум и прочитав ваши заметки о помощи, понял, что без специалиста здесь не обойтись))) Вот лог моего скана Logfile of HijackThis v1.99.1 Scan saved at 16:22:46, on 06.01.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\sistray.EXE C:\WINDOWS\System32\khooker.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\WINDOWS\System32\paytime.exe C:\windows\banmanpro.exe C:\WINDOWS\jbnbrd.exe C:\Program Files\SurfAccuracy\SAcc.exe C:\Program Files\ISTsvc\istsvc.exe C:\Program Files\Punto Switcher\ps.exe C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE C:\PROGRA~1\SERV-U\SERVUT~1.EXE C:\WINDOWS\System32\paytime.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Documents and Settings\Злобная Хрюка\Рабочий стол\лечим\HijackThis.exe C:\Program Files\Messenger\msmsgs.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll (file missing) O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\System32\azesearch4.ocx (file missing) O3 - Toolbar: Search - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\System32\azesearch4.ocx (file missing) O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\System32\sistray.EXE O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\sisUSBrg.exe O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [enewsletterpro] C:\windows\enewsletterpro.exe O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe O4 - HKLM\..\Run: [banmanpro] C:\windows\banmanpro.exe O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe O4 - HKLM\..\Run: [MTgPFMa] C:\WINDOWS\jbnbrd.exe O4 - HKLM\..\Run: [surfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe O4 - HKLM\..\Run: [iST Service] C:\Program Files\ISTsvc\istsvc.exe O4 - HKLM\..\RunOnce: [srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [servUTrayIcon] C:\PROGRA~1\SERV-U\SERVUT~1.EXE O4 - HKCU\..\Run: [shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe" O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe O4 - HKCU\..\Run: [AGAVA AntiSpy] "C:\Program Files\AGAVA AntiSpy\ah.exe" -background -scanner O4 - HKCU\..\RunOnce: [srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program Files\Microsoft ActiveSync\INETREPL.DLL O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab O16 - DPF: {463ED66E-431B-11D2-ADB0-0080C83DA4EB} (AcceptWM Class) - https://w3s.webmoney.ru/WMAcceptor.dll O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe Симптомы как и у всех видимо: при запуске интернет странички- синий экран с соответствующими надписями, а переход на банальный яндекс осуществляется, но там завмсает :) Помогите пожалуйста нубу :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 6 января, 2006 Жалоба Поделиться Опубликовано 6 января, 2006 Добрый день! Я убрал эту дурацкую надпись, но не совсем правильным способом: сменил пользователя, перенес все документы и прочее, а старую учетную запись стер, но вот вопрос: заразу я же не убрал с компа? да и комп как то медленно стал работать.Делал все как вы совнтовали и вот что осталось в компе высылаю вам, посмотрите что можно еще сделать? Ничего подозрительного в логе нет. Единственное, пара вопросов. Насколько я понимаю, Wanadoo - ваш ISP (Internet Service Рrovider)? Если да, то отвечать даже не обязательно. И насчет этого, вам это знакомо?: Sites Perso - http://compaqnet.ifrance.com/heberg/accueil http://compaqnet.ifrance.com/heberg/accueil' rel="external nofollow"> (file missing) Compaq France - http://compaqnet.ifrance.com/heberg/accueil http://compaqnet.ifrance.com/heberg/accueil' rel="external nofollow"> (file missing) Если нет, то нужно отметить 2 строчки в скане HijackThis, где это присутствует галочкой, обязательно закрыть все окна интернета и нажать на кнопку Fix Cheched. На всякий случай, вот эти 2 строчки: O9 - Extra button: Sites Perso - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing) O9 - Extra 'Tools' menuitem: Compaq France - {06FE5D05-8F11-11d2-804F-00105A133818} - http://compaqnet.ifrance.com/heberg/accueil (file missing) И еще посмотрите, нет ли у вас на компьютере файла: C:\WINDOWS\desktop.html ----------------- А что касается вопроса, осталась ли инфекция после удаления учетной записи или нет, то на него ответить очень сложно. Так как в данном случае даже не известно, чем вы всё-таки были заражены. Большинство вирусов убить таким способом, к сожалению, не возможно. Но от некоторых заражений категории Adware, которые предназначены для несанкционированной загрузки и отображения на компьютере рекламной информации, таким способом вполне можно избавиться (но всё же так делать не советую). Всё зависит от того, в каком разделе вашего реестра были сделаны изменения. Возможно, ваш компьютер начал работать медленнее, из-за того, что в старой учетной записи были сделаны какие-либо настройки для ускорения процесса перезагрузки и работы Windows в целом, и соответственно теперь компьютер стал работать сравнительно медленнее. Но это всего лишь моё предположение. ----------------- Если есть желание покапаться глубже, то нужно более серьезное сканирование, например, с помощью WinPFind. Его нужно распаковать на диске C, запустить файл winpfind.exe и нажать на кнопку Start Scan. Когда он закончит, в его папке появится файл WinPFind.Txt с результатами сканирования, которые нужно показать мне (в PM или на форуме). Только ни в коем случае нельзя бездумно удалять все файлы, которые он найдет(!). Но это лишь на ваше усмотрение, так как особого повода беспокоиться я в принципе не вижу. 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 6 января, 2006 Жалоба Поделиться Опубликовано 6 января, 2006 Помогите и мне плиззззз!!! 1. Необходимо скачать и распаковать на рабочем столе KillBox.exe http://www.bleepingcomputer.com/files/spyware/KillBox.zip Он понадобиться позже. 2. Также скачиваем триал-версию Ewido Security Suite http://www.ewido.net/en/download/ Инсталируем и сразу делаем его update. Пока тоже ничего не сканируем. 3. На время лечения отключаем функцию System Restore. Для этого нужно кликнуть на My Computer правой кнопкой мыши и зайти в Properties. Затем в System Restore и поставить галочку напротив Turn off System Restore on all drives. 4. Начинаем с чистки автозагрузки (если я указала что-то по 2 раза, это не опечатка, нужно действительно найти 2 штуки). Start > Run; вписать msconfig; нажать ОК и в последнем разделе (StartUp) напротив следующего нужно убрать галочки. C:\WINDOWS\System32\paytime.exe C:\WINDOWS\System32\paytime.exe c:\\drsmartloadb.exe C:\WINDOWS\jbnbrd.exe C:\Program Files\SurfAccuracy\SAcc.exe C:\Program Files\ISTsvc\istsvc.exe C:\WINDOWS\System32\spoolsrv32.exe C:\WINDOWS\System32\spoolsrv32.exe C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe C:\winstall.exe Насчет следующих трех - что это за программы, я не знаю. Поэтому, если что-то вам не знакомо, напротив этого тоже галочку убираем, но в полне возможно, это в полне безопасные вещи, которые вы инсталировали сами и они вам нужны, тогда, конечно, не трогаем: C:\windows\enewsletterpro.exe C:\windows\banmanpro.exe C:\PROGRA~1\SERV-U\SERVUT~1.EXE Сохраняем данные изменения - Apply и OK. 5. После нажатия ОК, система предложит перезагрузиться. Перезагружаемся и заходим обратно в безопасном режиме (Safe Mode). При появлении меню загрузки Windows нужно нажать клавишу F8. И на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем Enter. 6. Первым делом запускаем HijackThis. Отмечаем галочкой следующее, если это еще присутствует в его логе (кое-что может уже просто исчезнуть): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file) O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\System32\azesearch4.ocx (file missing) O3 - Toolbar: Search - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\System32\azesearch4.ocx (file missing) O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe O4 - HKLM\..\Run: [drsmartloadb] c:\\drsmartloadb.exe O4 - HKLM\..\Run: [MTgPFMa] C:\WINDOWS\jbnbrd.exe O4 - HKLM\..\Run: [surfAccuracy] C:\Program Files\SurfAccuracy\SAcc.exe O4 - HKLM\..\Run: [iST Service] C:\Program Files\ISTsvc\istsvc.exe O4 - HKLM\..\RunOnce: [srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O4 - HKCU\..\Run: [shell] "C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe" O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe O4 - HKCU\..\RunOnce: [srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab И последнее на ваше усмотрение. Если вы доверяете программе, то можете это смело проигнорить. Бесплатная версия FlashGet содержит в себе нежелательные компоненты классификации Аdware. Поэтому если вы используете именно бесплатную версию, я бы порекомендовала деинсталировать эту программу и затем добавить к списку, который выше, следующее: (Но повторяю, это лишь на ваше усмотрение). O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll (file missing) O8 - Extra context menu item: Закачать все при помощи FlashGet - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: Закачать при помощи FlashGet - C:\Program Files\FlashGet\jc_link.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe Отметив всё нужное, нажимаем кнопку Fix Checked (важно чтобы все остальные окошки были закрыты, открыт только HijackThis). Закрываем его. 7. Удостоверьтесь, что вы можете видеть все скрытые файлы системы. Control Panel > Folder Options; в верхнем меню вибираем закладку View; и ставим точку напротив Show hidden files and folders. Аpply и ОК. Теперь с помощью Killbox нужно удалить следующие файлы: C:\WINDOWS\system32\paytime.exe C:\WINDOWS\System32\spoolsrv32.exe C:\WINDOWS\jbnbrd.exe C:\WINDOWS\web\related.htm C:\winstall.exe c:\secure32.html c:\\drsmartloadb.exе C:\Program Files\Common Files\Microsoft Shared\Web Folders\ibm00001.exe (либо ibm00001.dll, если ibm00001.exe не найдете). Процедура удаления файла с помощью Killbox выполняеться следующим образом: В строку его окошка нужно скопировать точное местоположение файла (например, c:\secure32.html). Затем выбирите Delete on Reboot и нажмите на кнопку, которая выглядит как красный кружок с белым крестиком внутри. Найдите и удалите эти фолдеры (в ручную): C:\Program Files\ISTsvc C:\Program Files\SurfAccuracy 8. Теперь сделайте полное сканирование системы с помощью Ewido Security Suite. И дайте ему удалить всё, что он найдет у вас на компьютере. Когда он закончит, на всякий случай сохраните его лог (кнопка Save report, которая в конце покажеться внизу его окошка). 9. Избавляемся от всех временных файлов. Либо с помощью предварительно скаченной прграммы CleanUp (нужно инсталировать, запустить и нажать на кнопку CleanUp). Либо в ручную: 1) Идем сюда - C:\Windows\Temp И удаляем всё содержимое (если что-то удаляться не захочет, ничего страшного, это нормально). 2) Дальше: Start > Run вписываем %temp% Откроеться Temp фолдер. Также удаляем всё его содержимое. 3) Control Panel > Internet Options; и нажимаем на кнопку Delete Files. 10. Перезагружаемся и входим в систему в обычном режиме. Включаем обратно функцию System Restore. Даже если всё будет визуально в порядке, не поленитесь, пожалуйста, сделать новый лог HijackThis и, если не хотите оставлять его тут на форуме, просто пришлите его мне в PM. Нужно на всякий случай удостовериться, что всё хорошо, так как компьютер действительно инфицирован довольно серьезно, и, возможно, кое-что придется немного подкорректировать. Плюс, если не сложно, то поясните, были ли вам знакомы эти программы: C:\windows\enewsletterpro.exe C:\windows\banmanpro.exe C:\PROGRA~1\SERV-U\SERVUT~1.EXE Ссылка на комментарий Поделиться на другие сайты Поделиться
Wu-Tang Опубликовано 6 января, 2006 Жалоба Поделиться Опубликовано 6 января, 2006 Ребят, извините за оффтоп. Вы хоть совесть поимейте! Девушке, хоть репутацию подняли бы! Она вон помогает как! Shurr, еще раз извини за оффтоп! Ссылка на комментарий Поделиться на другие сайты Поделиться
илья Опубликовано 6 января, 2006 Жалоба Поделиться Опубликовано 6 января, 2006 Да за подобную помощь не то что девушке репутацию поднимем-мы ей при жизни памятник поставим!!!!!! :) Плюс, если не сложно, то поясните, были ли вам знакомы эти программы: C:\windows\enewsletterpro.exe C:\windows\banmanpro.exe C:\PROGRA~1\SERV-U\SERVUT~1.EXE С_П_А_С_И_Б_О, С_О_Л_Н_Ц_Е, Б_О_Л_Ь_Ш_О_Е!!! из этих программ знакома тока третья-она при работе с ftp Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 6 января, 2006 Жалоба Поделиться Опубликовано 6 января, 2006 из этих программ знакома тока третья-она при работе с ftp В таком случае удаляем их из автозагрузки (пунк 4). C:\windows\enewsletterpro.exe C:\windows\banmanpro.exe -------------- Если это не исчезнет из лога HijackThis, то ставим галочку напротив (пункт 6): O4 - HKLM\..\Run: [enewsletterpro] C:\windows\enewsletterpro.exe O4 - HKLM\..\Run: [banmanpro] C:\windows\banmanpro.exe -------------- Плюс добавляем их в список файлов, которые должен уничтожить Кillbox (пункт 7): C:\windows\enewsletterpro.exe C:\windows\banmanpro.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
илья Опубликовано 7 января, 2006 Жалоба Поделиться Опубликовано 7 января, 2006 ок) чичас пробую) Ссылка на комментарий Поделиться на другие сайты Поделиться
илья Опубликовано 7 января, 2006 Жалоба Поделиться Опубликовано 7 января, 2006 :D спасибо, Saule, огромное за помощь) Ваша компетенция в данном вопросе поражает до глубины души :D Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 8 января, 2006 Жалоба Поделиться Опубликовано 8 января, 2006 (изменено) сделал все в точности как вы и сказали - в результате все в порядке)) Вот лог повторного скана: Личное сообщение по каким-то причинам очень упорно не желает к вам отправлятся :) Пишет: Нет такого пользователя. Проверьте введенное имя и повторите попытку. Это личное сообщение не отправлено. Поэтому пришлось ответить тут. ---------------------------- 1. Лог чистый. Вы отлично поработали! Никто не выжил :) Единственное, еще раз откройте HijackThis и, предварительно закрыв все окна интернета, почините (т.е. отметить галочкой и нажать на кнопку Fix Cheched) этот пункт, если он там всё еще будет присутствовать: R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Это как бы маленькая дырочка, которую нужно заделать. Теперь точно всё. ---------------------------- Программа ewido за что она все же отвечает и стоит ее держать впредь на компе, иногда его сканируя? (у меня нортон стоит-это не одно и то же?)Данная зараза попала на мой комп в результате поиска на яндексе програмvки wintools, когда я открыл одну из ссылок все и началось---вопрос вот в чем: у меня установлен zone alarm и norton antivirus, которые чуть ли не каждый день обновляются, так их защиты не достаточно или они просто не подходят? Вы можете что-нить посоветовать для более надежной защиты? Это одназначно не одно и тоже. Ewido - антивирусная утилита, предназначенная для поиска и удаления именно всевозможных вредоносных программ. Плюс очень добросовестно убирает весь муссор, который оставляют после себя классические паразиты. К тому же Ewido никогда не конфликтует ни с одной более менее известной антивирусной программой, что в некоторых случаях очень важно. Другими словами, основное назначение Ewido - это нахождение и удаление не совсем вирусов (т.к. подобные программы чаще всего не обладают способностью к размножению, но и не явяются "полезными", потому что устанавливаются скрытным образом и выполняют некоторые действия без ведома пользователя). Нортону во многих ситуациях их слишком сложно обнаружить. Но если вдруг требуется качественное и корректное лечение какой-либо программы, зараженной именно вирусом, то без специализированного антивируса (типа Нортона) не обойтись. Вам к этому набору (Zone Alarm и Norton Аntivirus) не хватает именно какой-либо программы, подобной Ewido, которая специализировалась бы именно на троянах и категории Spyware и Adware. И их выбор достаточно широк. Что касается именно Ewido, то в данный момент у вас установлена его триал-версия, которая будет работать всего лишь 14 дней. Затем за год её использования необходимо заплатить 29.95 USD. Поэтому вы в полне можете ограничиться он-лайн сканированием системы (за которое платить не нужно) время от времени, либо при возникновении каких-либо проблем. http://www.ewido.net/en/onlinescan/ Вот небольшой список таких программ, которые доступны совсем бесплатно: Ad-Aware Personal - пользуется наибольшим авторитетом Spybot S&D - наряду с очень глубоким сканированием присутствует возможность ”иммунизации” системы SpywareBlaster - еще одна какбы "прививка" от шпионов Microsoft AntiSpyware Beta a-squared Personal Выбор полностью за вами. ---------------------------- И на всякий случай сделайте тест своего браузера на его возможные уязвимости: http://bcheck.scanit.be/bcheck/ Плюс имейте в виду, что обычный браузер - Internet Explorer - из-за своей распостраненности, взламывается чаще всего. Поэтому, возможно, стоит перейти на любой альтернативный (Mozilla Firefox, Opera, Avant Browser). Либо хотябы не использовать Internet Explorer, когда вы посещаете именно незнакомые страницы. Если что-то обьяснила не совсем понятно, либо появятся еще вопросы, то, не извиняясь, смело спрашивайте. Изменено 10 января, 2006 пользователем Shurr 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
eXtranom Опубликовано 16 января, 2006 Жалоба Поделиться Опубликовано 16 января, 2006 Здравствуйте! Восхищен данной темой и всем что здесь происходило. Поэтому решил приобщиться. Извините если не совсем в том топике пишу, но проблема похожа. В одной дружественной мне бухгалитерии :-) случилась такая вот беда. Вроде бы ничего не нажимали и не запускали, но вот при запуске IE выскакивает secure32.html Что еще могу сказать. Нашел у них в корне установку какого то VCClient.exe. Он завирусован. Видать пытались установить, потому как в Program Files он есть. Вирусов найдено вот сколько (говорят что их нортон не удаляет). banmanpro.exe C:\Windows Trojan.Adclicker enewsletterpro.exe C:\Windows Trojan.Adclicker kl.exe C:\Windows PWSteal.Trojan ms1.exe C:\Windows Download.Trojan paytime.exe C:\Windows\system32 Trojan.StartPage timessquare.exe C:\Windows Trojan.StartPage VCClient.exe C:\Programs Files\Common Files\VCClient Download.Trojan VCUpdate.exe C:\Programs Files\Common Files\VCClient Download.Trojan (последние два файла в двойном экземпляре) Ну и вот лог джека: Logfile of HijackThis v1.99.1 Scan saved at 14:46:54, on 16.01.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\PROGRA~1\SYMANT~1\VPTray.exe C:\WINDOWS\System32\paytime.exe C:\windows\banmanpro.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\paytime.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\system32\sistray.exe C:\KSERV\PSNetSrv.exe C:\Program Files\Symantec AntiVirus\DefWatch.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\WINDOWS\system32\srvany.exe C:\WINDOWS\system32\resetservice.exe C:\Program Files\Symantec AntiVirus\Rtvscan.exe C:\Documents and Settings\Пользователь\Рабочий стол\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [siSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\kypiyw.exe reg_run O4 - HKLM\..\Run: [enewsletterpro] C:\windows\enewsletterpro.exe O4 - HKLM\..\Run: [banmanpro] C:\windows\banmanpro.exe O4 - HKLM\..\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [TaskManager] C:\WINDOWS\TaskMgr.exe O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe O4 - HKCU\..\Run: [CU1] C:\Program Files\Common Files\VCClient\VCClient.exe O4 - HKCU\..\Run: [CU2] C:\Program Files\Common Files\VCClient\VCMain.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Startup: Ярлык для PSNetSrv.lnk = C:\KSERV\PSNetSrv.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D35709AC6} (Progetto1.int_ver34) - http://advnt01.com/dialer/int_ver34.CAB O17 - HKLM\System\CCS\Services\Tcpip\..\{C5E7D9F5-0162-439D-9524-96C6C60BFD12}: NameServer = 192.168.0.1 O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll O20 - Winlogon Notify: ssldr - C:\WINDOWS\SYSTEM32\ssldr32.dll O20 - Winlogon Notify: URL - C:\WINDOWS\system32\lvrq0995e.dll O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe ВОТ СИЖУ ДУМАЮ ЧТО ИМ ПОСОВЕТОВАТЬ. НАХОЖУСЬ В ДРУГОЙ СТРАНЕ И ЛИЧНО ПРИНИМАТЬ УЧАСТИЕ В ЭКСПЕРИМЕНТРЕ НЕ СМОГУ, ПОТОМУ И ОБРАЩАЮСЬ ЗА ПОМОЩЬЮ К УВАЖАЕМЫМ ЭКСПЕРТАМ. ПОСОВЕТУЙТЕ, ЧТО ДЕЛАТЬ С ЭТОЙ КОТАВАСИЕЙ! С уважением, Сергей. Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 17 января, 2006 Жалоба Поделиться Опубликовано 17 января, 2006 ПОСОВЕТУЙТЕ, ЧТО ДЕЛАТЬ С ЭТОЙ КОТАВАСИЕЙ!С уважением, Сергей. 1. Необходимо скачать и распаковать на рабочем столе KillBox.exe http://www.bleepingcomputer.com/files/spyware/KillBox.zip Он понадобиться позже. 2. Также скачиваем триал-версию Ewido Security Suite http://www.ewido.net/en/download/ Инсталируем и сразу делаем его update. Пока тоже ничего не сканируем. 3. На время лечения отключаем функцию System Restore. Для этого нужно кликнуть на My Computer правой кнопкой мыши и зайти в Properties. Затем в System Restore и поставить галочку напротив Turn off System Restore on all drives. 4. Чистим автозагрузку. Start > Run; вписать msconfig; нажать ОК и в последнем разделе (StartUp) напротив следующего нужно убрать галочки. C:\WINDOWS\System32\paytime.exe C:\WINDOWS\System32\paytime.exe C:\windows\enewsletterpro.exe C:\windows\banmanpro.exe C:\Program Files\Common Files\VCClient\VCClient.exe C:\Program Files\Common Files\VCClient\VCMain.exe C:\WINDOWS\System32\kypiyw.exe Что касается последнего файла, то с ним боремся лишь в том случае, если это не специально созданная и запущенная вами программа (мало ли), хоть он так и не выглядит. Если в автозагрузке его не найдете - ничего страшного, следующий шаг это страхует. Сохраняем данные изменения - Apply и OK 5. После нажатия ОК, система предложит перезагрузиться. Еще не делаем этого (!) А включаем HijackThis. Отмечаем галочкой следующее, если это еще будет присутствовать в его логе (кое-что уже исчезнет): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe O4 - HKLM\..\Run: [winsync] C:\WINDOWS\System32\kypiyw.exe reg_run O4 - HKLM\..\Run: [enewsletterpro] C:\windows\enewsletterpro.exe O4 - HKLM\..\Run: [banmanpro] C:\windows\banmanpro.exe O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe O4 - HKCU\..\Run: [CU1] C:\Program Files\Common Files\VCClient\VCClient.exe O4 - HKCU\..\Run: [CU2] C:\Program Files\Common Files\VCClient\VCMain.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D35709AC6} (Progetto1.int_ver34) - http://advnt01.com/dialer/int_ver34.CAB O20 - Winlogon Notify: ssldr - C:\WINDOWS\SYSTEM32\ssldr32.dll O20 - Winlogon Notify: URL - C:\WINDOWS\system32\lvrq0995e.dll Отметив всё нужное, нажимаем кнопку Fix Checked (важно чтобы все остальные окошки были закрыты, открыт только HijackThis). Закрываем его. И перезагружаемся. При чем обратно в систему заходим в безопасном режиме (Safe Mode). При появлении меню загрузки Windows нужно нажать клавишу F8. И на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем Enter. 6. Удаляем с помощью Killbox следующие файлы: C:\WINDOWS\System32\paytime.exe C:\windows\enewsletterpro.exe C:\windows\banmanpro.exe c:\secure32.html C:\WINDOWS\system32\lvrq0995e.dll C:\WINDOWS\SYSTEM32\ssldr32.dll C:\WINDOWS\System32\kypiyw.exe Процедура удаления файла с помощью Killbox выполняеться следующим образом: В строку его окошка нужно скопировать точное местоположение файла (например, c:\secure32.html). Затем выбирите Delete on Reboot и нажмите на кнопку, которая выглядит как красный кружок с белым крестиком внутри. kl.exe, ms1.exe, timessquare.exe - в данный момент не активны, поэтому о них я ничего не говорю. А Нортон действительно не удаляет. Поэтому нам и нужен Ewido, который легко разберется со всеми неактивными приложениями. Удаляем папку в ручную: С:\Program Files\Common Files\VCClient 7. Делаем полное сканирование системы с помощью Ewido. Когда он закончит, на всякий случай сохраняем его лог (кнопка Save report, которая в конце покажеться внизу его окошка). 8. Избавляемся от всех временных файлов. Либо с помощью предварительно скаченной прграммы, например CleanUp (нужно инсталировать, запустить и нажать на кнопку CleanUp) или ATF-Cleaner (инсталяции не требует). Либо в ручную: 1) Идем сюда - C:\Windows\Temp И удаляем всё содержимое (если что-то удаляться не захочет, ничего страшного, это нормально). 2) Дальше: Start > Run вписываем %temp% Откроеться Temp фолдер. Также удаляем всё его содержимое. 3) Control Panel > Internet Options; и нажимаем на кнопку Delete Files. 4) И еще кое что в вашем случае важное: необходимо полностью отчистить папку: C:\WINDOWS\Prefetch Самый простой способ, это открыть блокнот, скопировать туда следующее: del c:\Windows\Prefetch\*.* /Q И сохранить с расширением .bat (например, CleanPrefetch.bat). А затем запустить этот файл. 9. Перезагружаемся в обычный режим и делаем новый лог HijackThis, который желательно показать мне. ---------------------- Теперь кое что поясню. Если в новом логе вместо ssldr32.dll или lvrq0995e.dll опять будет или будут присутствовать какие-либо файлы dll (названия могут быть абсолютно любыми) в строчках, начинающихся с этого: O20 - Winlogon Notify, то на этом лечение, к сожалению, не закончится. То есть ваших родных Winlogon Notify на данный момент может быть только 2 - NavLogon.dll и reset5.dll. Если будет еще что-либо, то обязательно сообщите, и я обьясню, что нужно делать. Так как, если мои подазрения оправдаются, то удалять можно будет до бесконечности, только вот смысла никакого не будет. Но я не утверждаю, что в вашем случае обязательно должно так случится, по одному логу этого просто сказать не возможно. Поэтому может только зря тут пугаю :) 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
В поиске Опубликовано 18 января, 2006 Жалоба Поделиться Опубликовано 18 января, 2006 Добрейшего дня! Без Вашей помощи не разобраться. Два дня пытаюсь убить появляющуюся из ничего флеш рекламу, НЕМОГУ. Помогите. Logfile of HijackThis v1.99.1 Scan saved at 10:46:26, on 18.01.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Punto Switcher\ps.exe C:\Program Files\Mustek 1200 UB Plus\Driver\WATCH.exe C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\Program Files\Winamp\winampa.exe C:\Program Files\Winamp\Winamp.exe C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\Program Files\QIP\qip.exe C:\Program Files\Ad Muncher\AdMunch.exe C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\system32\mstsc.exe C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\Documents and Settings\1\My Documents\Проги\hijackthis-1.99-1\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll O3 - Toolbar: Search - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\System32\azesearch4.ocx O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CmUsbAudio] RunDll32 cmcnfg2.cpl,CMICtrlWnd O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Global Startup: Watch.lnk = C:\Program Files\Mustek 1200 UB Plus\Driver\WATCH.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Добавить выделенные линки в Коллектор линков - C:\Program Files\SoftInform\AdsCleaner Trial\System\Scripts\off_collector_sel.htm O8 - Extra context menu item: Добавить линки как банера в AdsCleaner - C:\Program Files\SoftInform\AdsCleaner Trial\System\Scripts\off_banner.htm O8 - Extra context menu item: Занести все линки в закладки AdsCleaner - C:\Program Files\SoftInform\AdsCleaner Trial\System\Scripts\off_all.htm O8 - Extra context menu item: Занести выделенные линки в закладки AdsCleaner - C:\Program Files\SoftInform\AdsCleaner Trial\System\Scripts\off_sel.htm O8 - Extra context menu item: Открыть все ссылки в новых окнах - C:\Program Files\SoftInform\AdsCleaner Trial\System\Scripts\off_open_all.htm O8 - Extra context menu item: Открыть выделенные ссылки в новых окнах - C:\Program Files\SoftInform\AdsCleaner Trial\System\Scripts\off_open_sel.htm O8 - Extra context menu item: Показать доменные линки - C:\Program Files\SoftInform\AdsCleaner Trial\System\Scripts\off_domain_links.htm O8 - Extra context menu item: Сообщить о банере команде AdsCleaner - C:\Program Files\SoftInform\AdsCleaner Trial\System\Scripts\off_report_ad.htm O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe (file missing) O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {FFFFFFFF-ABBB-FFFF-FFFF-FFFFFFFFFFFF} - http://top.holm.ru/cgi-bin/link.cgi?l=book (file missing) O9 - Extra 'Tools' menuitem: FUNNY SEXY PICTURES - {FFFFFFFF-ABBB-FFFF-FFFF-FFFFFFFFFFFF} - http://top.holm.ru/cgi-bin/link.cgi?l=book (file missing) O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\hr2405fqe.dll O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing) Огромное спасибо!!!! Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 18 января, 2006 Жалоба Поделиться Опубликовано 18 января, 2006 Добрейшего дня!Без Вашей помощи не разобраться. Два дня пытаюсь убить появляющуюся из ничего флеш рекламу, НЕМОГУ. Помогите. 1. Закрываем всё, что открыто, в первую очередь браузер (интернет) и открываем HijackThis. Отмечаем галочкой следующее: R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O3 - Toolbar: Search - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\WINDOWS\System32\azesearch4.ocx O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe (file missing) O9 - Extra button: (no name) - {FFFFFFFF-ABBB-FFFF-FFFF-FFFFFFFFFFFF} - http://top.holm.ru/cgi-bin/link.cgi?l=book (file missing) O9 - Extra 'Tools' menuitem: FUNNY SEXY PICTURES - {FFFFFFFF-ABBB-FFFF-FFFF-FFFFFFFFFFFF} - http://top.holm.ru/cgi-bin/link.cgi?l=book (file missing) O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab O20 - Winlogon Notify: Shell Extensions - C:\WINDOWS\system32\hr2405fqe.dll O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing) Пункты, которые заканчиваются словами - file missing - отмечаются, потому что того, на что они указывают, уже нету в системе, и это лишь потенциальные дырки. Нажимаем кнопку Fix Checked. Закрываем его. 2. Нажимаем Start > Run Копируем туда следующее: regsvr32 /u hr2405fqe.dll Нажимаем ОК. Находим и удаляем файл: C:\WINDOWS\system32\hr2405fqe.dll 3. Перезагружаемся. Если реклама после этого не исчезнет, придется сделать следующее: Скачайте на рабочий стол l2mfix.ехе и инсталируйте, прямо тут же, на рабочем столе. Затем в папке l2mfix нужно найти файл l2mfix.bat и запустить. Откроется приложение, которое сначала попросит нажать любую клавишу для продолжения, а после выдаст меню с возможными действиями. Необходимо нажать - 1 и затем Enter. ВАЖНО(!): больше ничего нажимать не нужно, пока вас об этом не попросят :( Через несколько секунд откроется текстовый файл, содержимое которого нужно будет скопировать и показать мне (в PM или на форум, как вам удобнее). Этот текстовый файл также появится в папке l2mfix с названием report.txt. Плюс сделайте новый лог HijackThis и покажите его вместе с логом l2mfix. Желаю удачи :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Pilar Опубликовано 19 января, 2006 Жалоба Поделиться Опубликовано 19 января, 2006 Помогите, пожалуйста... После чистки компьютера (WinXP) от трояна при старте стали появляться 2 сообщения: 1- о том, что не найден файл ibm00001.exe. Нашла и модифицировала ключ регистра с подобным названием - сообщение больше не появляется. 2- о том, что данная программа 0wao06rs.dll не может запуститься, и открывается окошко C:\Program files\Common files пустое. Запустила поиск, чтоб найти данный файл - ни чего не найдено, поискала в ключах регистра - пусто, в автозагрузке программы с таким именем нет. Что делать? У меня идей больше нет - очень нужна свежая голова!!!!! Заранее спасибо:) Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 19 января, 2006 Жалоба Поделиться Опубликовано 19 января, 2006 Помогите, пожалуйста... После чистки компьютера (WinXP) от трояна при старте стали появляться 2 сообщения: 1- о том, что не найден файл ibm00001.exe. Нашла и модифицировала ключ регистра с подобным названием - сообщение больше не появляется. 2- о том, что данная программа 0wao06rs.dll не может запуститься, и открывается окошко C:\Program files\Common files пустое. Запустила поиск, чтоб найти данный файл - ни чего не найдено, поискала в ключах регистра - пусто, в автозагрузке программы с таким именем нет. Что делать? У меня идей больше нет - очень нужна свежая голова!!!!! Заранее спасибо:) Нужен лог HijackThis. Ссылка на комментарий Поделиться на другие сайты Поделиться
В поиске Опубликовано 19 января, 2006 Жалоба Поделиться Опубликовано 19 января, 2006 И еще раз Доброго дня! Почистил все что мог, через Fix Checked часть процессов не удалилась, воспользовался ADD checked to ignorelist. Находим и удаляем файл: C:\WINDOWS\system32\hr2405fqe.dll, не удаляет, пишет что файл занят другим приложением. Причем этот файл постоянно меняет свое имя при перезакрузке. Пробовал в safe mode та же картина. и постоянно что-то лезет на www.ad-w-a-r-e.com Logfile of HijackThis v1.99.1 Scan saved at 9:32:09, on 19.01.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RunDll32.exe C:\Program Files\Winamp\winampa.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Punto Switcher\ps.exe C:\Program Files\Mustek 1200 UB Plus\Driver\WATCH.exe C:\Program Files\Ad Muncher\AdMunch.exe C:\WINDOWS\system32\rundll32.exe C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE C:\Documents and Settings\1\My Documents\Проги\hijackthis-1.99-1\HijackThis.exe R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CmUsbAudio] RunDll32 cmcnfg2.cpl,CMICtrlWnd O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Punto Switcher] C:\Program Files\Punto Switcher\ps.exe O4 - Global Startup: Watch.lnk = C:\Program Files\Mustek 1200 UB Plus\Driver\WATCH.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: Reliability - C:\WINDOWS\system32\i242lcho1f4c.dll и еще L2MFIX find log 010406 These are the registry keys present ******************************************************************************** ** Winlogon/notify: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,33,00,32,00,2e,00,64,00,6c,00,\ 6c,00,00,00 "Logoff"="ChainWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet] "Asynchronous"=dword:00000000 "Impersonate"=dword:00000000 "DllName"=hex(2):63,00,72,00,79,00,70,00,74,00,6e,00,65,00,74,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Logoff"="CryptnetWlxLogoffEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll] "DLLName"="cscdll.dll" "Logon"="WinlogonLogonEvent" "Logoff"="WinlogonLogoffEvent" "ScreenSaver"="WinlogonScreenSaverEvent" "Startup"="WinlogonStartupEvent" "Shutdown"="WinlogonShutdownEvent" "StartShell"="WinlogonStartShellEvent" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui] @="" "DLLName"="igfxsrvc.dll" "Asynchronous"=dword:00000001 "Impersonate"=dword:00000001 "Unlock"="WinlogonUnlockEvent" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Reliability] "Asynchronous"=dword:00000000 "DllName"="C:\\WINDOWS\\system32\\i242lcho1f4c.dll" "Impersonate"=dword:00000000 "Logon"="WinLogon" "Logoff"="WinLogoff" "Shutdown"="WinShutdown" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp] "DLLName"="wlnotify.dll" "Logon"="SCardStartCertProp" "Logoff"="SCardStopCertProp" "Lock"="SCardSuspendCertProp" "Unlock"="SCardResumeCertProp" "Enabled"=dword:00000001 "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "StartShell"="SchedStartShell" "Logoff"="SchedEventLogOff" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy] "Logoff"="WLEventLogoff" "Impersonate"=dword:00000000 "Asynchronous"=dword:00000001 "DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn] "DLLName"="WlNotify.dll" "Lock"="SensLockEvent" "Logon"="SensLogonEvent" "Logoff"="SensLogoffEvent" "Safe"=dword:00000001 "MaxWait"=dword:00000258 "StartScreenSaver"="SensStartScreenSaverEvent" "StopScreenSaver"="SensStopScreenSaverEvent" "Startup"="SensStartupEvent" "Shutdown"="SensShutdownEvent" "StartShell"="SensStartShellEvent" "PostShell"="SensPostShellEvent" "Disconnect"="SensDisconnectEvent" "Reconnect"="SensReconnectEvent" "Unlock"="SensUnlockEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv] "Asynchronous"=dword:00000000 "DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\ 6c,00,6c,00,00,00 "Impersonate"=dword:00000000 "Logoff"="TSEventLogoff" "Logon"="TSEventLogon" "PostShell"="TSEventPostShell" "Shutdown"="TSEventShutdown" "StartShell"="TSEventStartShell" "Startup"="TSEventStartup" "MaxWait"=dword:00000258 "Reconnect"="TSEventReconnect" "Disconnect"="TSEventDisconnect" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon] "DLLName"="wlnotify.dll" "Logon"="RegisterTicketExpiredNotificationEvent" "Logoff"="UnregisterTicketExpiredNotificationEvent" "Impersonate"=dword:00000001 "Asynchronous"=dword:00000001 ******************************************************************************** ** useragent: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform] "{01F940C8-DC86-92FD-78DF-E79333BB667F}"="" ******************************************************************************** ** Shell Extension key: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] "{00022613-0000-0000-C000-000000000046}"="Multimedia File Property Sheet" "{176d6597-26d3-11d1-b350-080036a75b03}"="ICM Scanner Management" "{1F2E5C40-9550-11CE-99D2-00AA006E086C}"="NTFS Security Page" "{3EA48300-8CF6-101B-84FB-666CCB9BCD32}"="OLE Docfile Property Page" "{40dd6e20-7c17-11ce-a804-00aa003ca9f6}"="Shell extensions for sharing" "{41E300E0-78B6-11ce-849B-444553540000}"="PlusPack CPL Extension" "{42071712-76d4-11d1-8b24-00a0c9068ff3}"="Display Adapter CPL Extension" "{42071713-76d4-11d1-8b24-00a0c9068ff3}"="Display Monitor CPL Extension" "{42071714-76d4-11d1-8b24-00a0c9068ff3}"="Display Panning CPL Extension" "{4E40F770-369C-11d0-8922-00A024AB2DBB}"="DS Security Page" "{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"="Compatibility Page" "{56117100-C0CD-101B-81E2-00AA004AE837}"="Shell Scrap DataHandler" "{59099400-57FF-11CE-BD94-0020AF85B590}"="Disk Copy Extension" "{59be4990-f85c-11ce-aff7-00aa003ca9f6}"="Shell extensions for Microsoft Windows Network objects" "{5DB2625A-54DF-11D0-B6C4-0800091AA605}"="ICM Monitor Management" "{675F097E-4C4D-11D0-B6C1-0800091AA605}"="ICM Printer Management" "{764BF0E1-F219-11ce-972D-00AA00A14F56}"="Shell extensions for file compression" "{77597368-7b15-11d0-a0c2-080036af3f03}"="Web Printer Shell Extension" "{7988B573-EC89-11cf-9C00-00AA00A14F56}"="Disk Quota UI" "{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA}"="Encryption Context Menu" "{85BBD920-42A0-1069-A2E4-08002B30309D}"="Briefcase" "{88895560-9AA2-1069-930E-00AA0030EBC8}"="HyperTerminal Icon Ext" "{BD84B380-8CA2-1069-AB1D-08000948F534}"="Fonts" "{DBCE2480-C732-101B-BE72-BA78E9AD5B27}"="ICC Profile" "{F37C5810-4D3F-11d0-B4BF-00AA00BBB723}"="Printers Security Page" "{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}"="Shell extensions for sharing" "{f92e8c40-3d33-11d2-b1aa-080036a75b03}"="Display TroubleShoot CPL Extension" "{7444C717-39BF-11D1-8CD9-00C04FC29D45}"="Crypto PKO Extension" "{7444C719-39BF-11D1-8CD9-00C04FC29D45}"="Crypto Sign Extension" "{7007ACC7-3202-11D1-AAD2-00805FC1270E}"="Network Connections" "{992CFFA0-F557-101A-88EC-00DD010CCC48}"="Network Connections" "{E211B736-43FD-11D1-9EFB-0000F8757FCD}"="Scanners & Cameras" "{FB0C9C8A-6C50-11D1-9F1D-0000F8757FCD}"="Scanners & Cameras" "{905667aa-acd6-11d2-8080-00805f6596d2}"="Scanners & Cameras" "{3F953603-1008-4f6e-A73A-04AAC7A992F1}"="Scanners & Cameras" "{83bbcbf3-b28a-4919-a5aa-73027445d672}"="Scanners & Cameras" "{F0152790-D56E-4445-850E-4F3117DB740C}"="Remote Sessions CPL Extension" "{5F327514-6C5E-4d60-8F16-D07FA08A78ED}"="Auto Update Property Sheet Extension" "{60254CA5-953B-11CF-8C96-00AA00B8708C}"="Shell extensions for Windows Script Host" "{2206CDB2-19C1-11D1-89E0-00C04FD7A829}"="Microsoft Data Link" "{DD2110F0-9EEF-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Icon Handler" "{797F1E90-9EDD-11cf-8D8E-00AA0060F5BF}"="Tasks Folder Shell Extension" "{D6277990-4C6A-11CF-8D87-00AA0060F5BF}"="Scheduled Tasks" "{0DF44EAA-FF21-4412-828E-260A8728E7F1}"="Taskbar and Start Menu" "{2559a1f0-21d7-11d4-bdaf-00c04f60b9f0}"="Search" "{2559a1f1-21d7-11d4-bdaf-00c04f60b9f0}"="Help and Support" "{2559a1f2-21d7-11d4-bdaf-00c04f60b9f0}"="Help and Support" "{2559a1f3-21d7-11d4-bdaf-00c04f60b9f0}"="Run..." "{2559a1f4-21d7-11d4-bdaf-00c04f60b9f0}"="Internet" "{2559a1f5-21d7-11d4-bdaf-00c04f60b9f0}"="E-mail" "{D20EA4E1-3957-11d2-A40B-0C5020524152}"="Fonts" "{D20EA4E1-3957-11d2-A40B-0C5020524153}"="Administrative Tools" "{875CB1A1-0F29-45de-A1AE-CFB4950D0B78}"="Audio Media Properties Handler" "{40C3D757-D6E4-4b49-BB41-0E5BBEA28817}"="Video Media Properties Handler" "{E4B29F9D-D390-480b-92FD-7DDB47101D71}"="Wav Properties Handler" "{87D62D94-71B3-4b9a-9489-5FE6850DC73E}"="Avi Properties Handler" "{A6FD9E45-6E44-43f9-8644-08598F5A74D9}"="Midi Properties Handler" "{c5a40261-cd64-4ccf-84cb-c394da41d590}"="Video Thumbnail Extractor" "{5E6AB780-7743-11CF-A12B-00AA004AE837}"="Microsoft Internet Toolbar" "{22BF0C20-6DA7-11D0-B373-00A0C9034938}"="Download Status" "{91EA3F8B-C99B-11d0-9815-00C04FD91972}"="Augmented Shell Folder" "{6413BA2C-B461-11d1-A18A-080036B11A03}"="Augmented Shell Folder 2" "{F61FFEC1-754F-11d0-80CA-00AA005B4383}"="BandProxy" "{7BA4C742-9E81-11CF-99D3-00AA004AE837}"="Microsoft BrowserBand" "{30D02401-6A81-11d0-8274-00C04FD5AE38}"="Search Band" "{32683183-48a0-441b-a342-7c2a440a9478}"="Media Band" "{169A0691-8DF9-11d1-A1C4-00C04FD75D13}"="In-pane search" "{07798131-AF23-11d1-9111-00A0C98BA67D}"="Web Search" "{AF4F6510-F982-11d0-8595-00AA004CD6D8}"="Registry Tree Options Utility" "{01E04581-4EEE-11d0-BFE9-00AA005B4383}"="&Address" "{A08C11D2-A228-11d0-825B-00AA005B4383}"="Address EditBox" "{00BB2763-6A77-11D0-A535-00C04FD7D062}"="Microsoft AutoComplete" "{7376D660-C583-11d0-A3A5-00C04FD706EC}"="TridentImageExtractor" "{6756A641-DE71-11d0-831B-00AA005B4383}"="MRU AutoComplete List" "{6935DB93-21E8-4ccc-BEB9-9FE3C77A297A}"="Custom MRU AutoCompleted List" "{7e653215-fa25-46bd-a339-34a2790f3cb7}"="Accessible" "{acf35015-526e-4230-9596-becbe19f0ac9}"="Track Popup Bar" "{E0E11A09-5CB8-4B6C-8332-E00720A168F2}"="Address Bar Parser" "{00BB2764-6A77-11D0-A535-00C04FD7D062}"="Microsoft History AutoComplete List" "{03C036F1-A186-11D0-824A-00AA005B4383}"="Microsoft Shell Folder AutoComplete List" "{00BB2765-6A77-11D0-A535-00C04FD7D062}"="Microsoft Multiple AutoComplete List Container" "{ECD4FC4E-521C-11D0-B792-00A0C90312E1}"="Shell Band Site Menu" "{3CCF8A41-5C85-11d0-9796-00AA00B90ADF}"="Shell DeskBarApp" "{ECD4FC4C-521C-11D0-B792-00A0C90312E1}"="Shell DeskBar" "{ECD4FC4D-521C-11D0-B792-00A0C90312E1}"="Shell Rebar BandSite" "{DD313E04-FEFF-11d1-8ECD-0000F87A470C}"="User Assist" "{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}"="Global Folder Settings" "{EFA24E61-B078-11d0-89E4-00C04FC9E26E}"="Favorites Band" "{0A89A860-D7B1-11CE-8350-444553540000}"="Shell Automation Inproc Service" "{E7E4BC40-E76A-11CE-A9BB-00AA004AE837}"="Shell DocObject Viewer" "{A5E46E3A-8849-11D1-9D8C-00C04FC99D61}"="Microsoft Browser Architecture" "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"="InternetShortcut" "{3C374A40-BAE4-11CF-BF7D-00AA006946EE}"="Microsoft Url History Service" "{FF393560-C2A7-11CF-BFF4-444553540000}"="History" "{7BD29E00-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files" "{7BD29E01-76C1-11CF-9DD0-00A0C9034933}"="Temporary Internet Files" "{CFBFAE00-17A6-11D0-99CB-00C04FD64497}"="Microsoft Url Search Hook" "{A2B0DD40-CC59-11d0-A3A5-00C04FD706EC}"="IE4 Suite Splash Screen" "{67EA19A0-CCEF-11d0-8024-00C04FD75D13}"="CDF Extension Copy Hook" "{131A6951-7F78-11D0-A979-00C04FD705A2}"="ISFBand OC" "{9461b922-3c5a-11d2-bf8b-00c04fb93661}"="Search Assistant OC" "{3DC7A020-0ACD-11CF-A9BB-00AA004AE837}"="The Internet" "{871C5380-42A0-1069-A2EA-08002B30309D}"="Internet Name Space" "{EFA24E64-B078-11d0-89E4-00C04FC9E26E}"="Explorer Band" "{9E56BE60-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{9E56BE61-C50F-11CF-9A2C-00A0C90A90CE}"="Sendmail service" "{88C6C381-2E85-11D0-94DE-444553540000}"="ActiveX Cache Folder" "{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"="WebCheck" "{ABBE31D0-6DAE-11D0-BECA-00C04FD940BE}"="Subscription Mgr" "{F5175861-2688-11d0-9C5E-00AA00A45957}"="Subscription Folder" "{08165EA0-E946-11CF-9C87-00AA005127ED}"="WebCheckWebCrawler" "{E3A8BDE6-ABCE-11d0-BC4B-00C04FD929DB}"="WebCheckChannelAgent" "{E8BB6DC0-6B4E-11d0-92DB-00A0C90C2BD7}"="TrayAgent" "{7D559C10-9FE9-11d0-93F7-00AA0059CE02}"="Code Download Agent" "{E6CC6978-6B6E-11D0-BECA-00C04FD940BE}"="ConnectionAgent" "{D8BD2030-6FC9-11D0-864F-00AA006809D9}"="PostAgent" "{7FC0B86E-5FA7-11d1-BC7C-00C04FD929DB}"="WebCheck SyncMgr Handler" "{352EC2B7-8B9A-11D1-B8AE-006008059382}"="Shell Application Manager" "{0B124F8F-91F0-11D1-B8B5-006008059382}"="Installed Apps Enumerator" "{CFCCC7A0-A282-11D1-9082-006008059382}"="Darwin App Publisher" "{e84fda7c-1d6a-45f6-b725-cb260c236066}"="Shell Image Verbs" "{66e4e4fb-f385-4dd0-8d74-a2efd1bc6178}"="Shell Image Data Factory" "{3F30C968-480A-4C6C-862D-EFC0897BB84B}"="GDI+ file thumbnail extractor" "{9DBD2C50-62AD-11d0-B806-00C04FD706EC}"="Summary Info Thumbnail handler (DOCFILES)" "{EAB841A0-9550-11cf-8C16-00805F1408F3}"="HTML Thumbnail Extractor" "{eb9b1153-3b57-4e68-959a-a3266bc3d7fe}"="Shell Image Property Handler" "{CC6EEFFB-43F6-46c5-9619-51D571967F7D}"="Web Publishing Wizard" "{add36aa8-751a-4579-a266-d66f5202ccbb}"="Print Ordering via the Web" "{6b33163c-76a5-4b6c-bf21-45de9cd503a1}"="Shell Publishing Wizard Object" "{58f1f272-9240-4f51-b6d4-fd63d1618591}"="Get a Passport Wizard" "{7A9D77BD-5403-11d2-8785-2E0420524153}"="User Accounts" "{BD472F60-27FA-11cf-B8B4-444553540000}"="Compressed (zipped) Folder Right Drag Handler" "{888DCA60-FC0A-11CF-8F0F-00C04FD7D062}"="Compressed (zipped) Folder SendTo Target" "{f39a0dc0-9cc8-11d0-a599-00c04fd64433}"="Channel File" "{f3aa0dc0-9cc8-11d0-a599-00c04fd64434}"="Channel Shortcut" "{f3ba0dc0-9cc8-11d0-a599-00c04fd64435}"="Channel Handler Object" "{f3da0dc0-9cc8-11d0-a599-00c04fd64437}"="Channel Menu" "{f3ea0dc0-9cc8-11d0-a599-00c04fd64438}"="Channel Properties" "{63da6ec0-2e98-11cf-8d82-444553540000}"="FTP Folders Webview" "{883373C3-BF89-11D1-BE35-080036B11A03}"="Microsoft DocProp Shell Ext" "{A9CF0EAE-901A-4739-A481-E35B73E47F6D}"="Microsoft DocProp Inplace Edit Box Control" "{8EE97210-FD1F-4B19-91DA-67914005F020}"="Microsoft DocProp Inplace ML Edit Box Control" "{0EEA25CC-4362-4A12-850B-86EE61B0D3EB}"="Microsoft DocProp Inplace Droplist Combo Control" "{6A205B57-2567-4A2C-B881-F787FAB579A3}"="Microsoft DocProp Inplace Calendar Control" "{28F8A4AC-BBB3-4D9B-B177-82BFC914FA33}"="Microsoft DocProp Inplace Time Control" "{8A23E65E-31C2-11d0-891C-00A024AB2DBB}"="Directory Query UI" "{9E51E0D0-6E0F-11d2-9601-00C04FA31A86}"="Shell properties for a DS object" "{163FDC20-2ABC-11d0-88F0-00A024AB2DBB}"="Directory Object Find" "{F020E586-5264-11d1-A532-0000F8757D7E}"="Directory Start/Search Find" "{0D45D530-764B-11d0-A1CA-00AA00C16E65}"="Directory Property UI" "{62AE1F9A-126A-11D0-A14B-0800361B1103}"="Directory Context Menu Verbs" "{ECF03A33-103D-11d2-854D-006008059367}"="MyDocs Copy Hook" "{ECF03A32-103D-11d2-854D-006008059367}"="MyDocs Drop Target" "{4a7ded0a-ad25-11d0-98a8-0800361b1103}"="MyDocs Properties" "{750fdf0e-2a26-11d1-a3ea-080036587f03}"="Offline Files Menu" "{10CFC467-4392-11d2-8DB4-00C04FA31A66}"="Offline Files Folder Options" "{AFDB1F70-2A4C-11d2-9039-00C04F8EEB3E}"="Offline Files Folder" "{143A62C8-C33B-11D1-84FE-00C04FA34A14}"="Microsoft Agent Character Property Sheet Handler" "{ECCDF543-45CC-11CE-B9BF-0080C87CDBA6}"="DfsShell" "{60fd46de-f830-4894-a628-6fa81bc0190d}"="%DESC_PublishDropTarget%" "{7A80E4A8-8005-11D2-BCF8-00C04F72C717}"="MMC Icon Handler" "{0CD7A5C0-9F37-11CE-AE65-08002B2E1262}"=".CAB file viewer" "{32714800-2E5F-11d0-8B85-00AA0044F941}"="For &People..." "{8DD448E6-C188-4aed-AF92-44956194EB1F}"="Windows Media Player Play as Playlist Context Menu Handler" "{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}"="Windows Media Player Burn Audio CD Context Menu Handler" "{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}"="Windows Media Player Add to Playlist Context Menu Handler" "{BDEADF00-C265-11D0-BCED-00A0C90AB50F}"="‚ҐЎ-Ї ЇЄЁ" "{00020D75-0000-0000-C000-000000000046}"="Microsoft Office Outlook Desktop Icon Handler" "{0006F045-0000-0000-C000-000000000046}"="Microsoft Office Outlook Custom Icon Handler" "{42042206-2D85-11D3-8CFF-005004838597}"="Microsoft Office HTML Icon Handler" "{F802F260-519B-11D1-BB5D-0060974C6013}"="ICQ Shell Extension" "{4CCEFB41-18FA-11D3-9EF3-00A0C9E897FD}"="CorelDRAW Shell Extension Component" @="CorelDRAW Shell Extension Component" "{E0D79304-84BE-11CE-9641-444553540000}"="WinZip" "{E0D79305-84BE-11CE-9641-444553540000}"="WinZip" "{E0D79306-84BE-11CE-9641-444553540000}"="WinZip" "{E0D79307-84BE-11CE-9641-444553540000}"="WinZip" "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"="ICQ Lite Shell Extension" "{969223c0-26aa-11d0-90ee-444553540000}"="Shell Extension" "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"="WinRAR shell extension" "{756F3F31-231D-4BC0-A6A3-2F5402BB9157}"="" "{BE143E33-391E-41A0-A34D-44EA4270B7B1}"="" "{2D3C8B94-4DB8-42C3-9E65-10ACF13E2F2A}"="" ******************************************************************************** ** HKEY ROOT CLASSIDS: Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{756F3F31-231D-4BC0-A6A3-2F5402BB9157}] @="" [HKEY_CLASSES_ROOT\CLSID\{756F3F31-231D-4BC0-A6A3-2F5402BB9157}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{756F3F31-231D-4BC0-A6A3-2F5402BB9157}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{756F3F31-231D-4BC0-A6A3-2F5402BB9157}\InprocServer32] @="C:\\WINDOWS\\system32\\vhr.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{BE143E33-391E-41A0-A34D-44EA4270B7B1}] @="" [HKEY_CLASSES_ROOT\CLSID\{BE143E33-391E-41A0-A34D-44EA4270B7B1}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{BE143E33-391E-41A0-A34D-44EA4270B7B1}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{BE143E33-391E-41A0-A34D-44EA4270B7B1}\InprocServer32] @="C:\\WINDOWS\\system32\\stcurity.dll" "ThreadingModel"="Apartment" Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\CLSID\{2D3C8B94-4DB8-42C3-9E65-10ACF13E2F2A}] @="" [HKEY_CLASSES_ROOT\CLSID\{2D3C8B94-4DB8-42C3-9E65-10ACF13E2F2A}\Implemented Categories] @="" [HKEY_CLASSES_ROOT\CLSID\{2D3C8B94-4DB8-42C3-9E65-10ACF13E2F2A}\Implemented Categories\{00021492-0000-0000-C000-000000000046}] @="" [HKEY_CLASSES_ROOT\CLSID\{2D3C8B94-4DB8-42C3-9E65-10ACF13E2F2A}\InprocServer32] @="C:\\WINDOWS\\system32\\ddmsadsn.dll" "ThreadingModel"="Apartment" ******************************************************************************** ** Files Found are not all bad files: C:\WINDOWS\SYSTEM32\ ddmsadsn.dll Wed 18 Jan 2006 13:36:46 ..S.R 236 165 230.63 K i242lc~1.dll Thu 19 Jan 2006 9:21:38 ..S.R 235 218 229.70 K j8l40i~1.dll Thu 19 Jan 2006 9:24:38 ..S.R 233 976 228.49 K k008la~1.dll Wed 18 Jan 2006 17:58:36 ..S.R 235 911 230.38 K sporder.dll Wed 28 Dec 2005 19:39:10 A.... 8 464 8.27 K stcurity.dll Tue 17 Jan 2006 22:34:58 ..S.R 236 800 231.25 K vhr.dll Thu 19 Jan 2006 9:25:20 ..... 235 218 229.70 K wrvdmoe2.dll Wed 18 Jan 2006 14:41:34 ..S.R 235 911 230.38 K 8 items found: 8 files (6 H/S), 0 directories. Total of file sizes: 1 657 663 bytes 1.58 M Locate .tmp files: C:\WINDOWS\SYSTEM32\ guard.tmp Thu 19 Jan 2006 9:26:20 ..S.R 235 218 229.70 K perfst~1.tmp Sat 24 Dec 2005 17:08:40 A.... 347 268 339.13 K 2 items found: 2 files (1 H/S), 0 directories. Total of file sizes: 582 486 bytes 568.83 K ******************************************************************************** ** Directory Listing of system files: ’®¬ ў гбва®©б⢥ C Ґ Ё¬ҐҐв ¬ҐвЄЁ. ‘ҐаЁ©л© ®¬Ґа ⮬ : 34CF-1D9C ‘®¤Ґа¦Ё¬®Ґ Ї ЇЄЁ C:\WINDOWS\System32 19.01.2006 09:26 235я218 guard.tmp 19.01.2006 09:24 233я976 j8l40i3qe8.dll 19.01.2006 09:21 235я218 i242lcho1f4c.dll 18.01.2006 17:58 235я911 k008ladu1d08.dll 18.01.2006 14:41 235я911 wrvdmoe2.dll 18.01.2006 13:36 236я165 ddmsadsn.dll 17.01.2006 22:34 236я800 stcurity.dll 16.01.2006 15:47 <DIR> dllcache 07.12.2004 13:25 <DIR> Microsoft 7 д ©«®ў 1я649я199 Ў ©в 2 Ї Ї®Є 25я438я216я192 Ў ©в бў®Ў®¤® Еще раз спасибо!!! P.S. открыл для себя замечательную программлину. Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 19 января, 2006 Жалоба Поделиться Опубликовано 19 января, 2006 И еще раз Доброго дня! Почистил все что мог, через Fix Checked часть процессов не удалилась, воспользовался ADD checked to ignorelist. Находим и удаляем файл: C:\WINDOWS\system32\hr2405fqe.dll, не удаляет, пишет что файл занят другим приложением. Причем этот файл постоянно меняет свое имя при перезакрузке. Пробовал в safe mode та же картина. Именно в этих постоянных "мутациях" мне и нужно было убедиться. Здорово, что вы сами это заметили :) 1. На время лечения отключаем функцию System Restore. Для этого нужно кликнуть на My Computer правой кнопкой мыши и зайти в Properties. Затем в System Restore и поставить галочку напротив Turn off System Restore on all drives. 2. Закрываем все окна и программы, которые у вас открыты на этот момент. 3. Открываем HijackThis, но только лишь открываем, ничего не сканируем(!). Он должен так и оставатся открытым, пока вы будите выполнять следующее действие. 4. Открываем папку l2mfix и снова запускаем файл l2mfix.bat. Нажимаем любую клавишу, затем цифру 2 и Enter. Во время того, как L2mfix будет лечить компьютер, ваш рабочий стол и иконки исчезнут (это нормально). Когда он закончит (процесс займет у него около 5 минут), то попросит нажать любую клавишу, для того, чтобы перезагрузиться. Но(!) пока что клавиатуру вообще не трогаем, а с помощью мышки нажимаем на кнопку Do a System Scan Only в HijackThis. Затем в его логе нужно будет найти строчку, которая начинается с O20 - Winlogon Notify: и заканчивается неизвестным вам, новым dll файлом. Отметить галочкой и нажать кнопку Fix Checked. Возможно, что этой строчки не будет и в логе останется лишь ваш родной dll (по ошибке не удалите его): O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll Но нам необходимо подстраховатся. 5. Закрываем HijackThis и нажимаем любую клавишу, так как l2mfix всё еще этого ждет, чтобы перезагрузить вашу систему. После перезагрузки можно будет посмотреть его лог, где будет указано всё то, что он удалил и какие ключи изменил в реестре. А также, если вдруг что-то помешает ему выполнить лечение, то по этому логу можно будет установить что именно. ------------- Если проблемы решились - можем просто порадоватся (+ возвращаем функцию System Restore). Если же вдруг что-то пошло не так и проблемы остались, придется показать этот лог мне. Ссылка на комментарий Поделиться на другие сайты Поделиться
В поиске Опубликовано 19 января, 2006 Жалоба Поделиться Опубликовано 19 января, 2006 Все получилось. ОГРОМНОЕ СПАСИБО! P.S. И еще небольшая просьба, не могу найти где репутация поднимается, хоть как-то поблагарить! Ссылка на комментарий Поделиться на другие сайты Поделиться
Pilar Опубликовано 19 января, 2006 Жалоба Поделиться Опубликовано 19 января, 2006 Мой лог: Logfile of HijackThis v1.99.1 Scan saved at 9:51:52 AM, on 1/19/2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\WINDOWS\system32\basfipm.exe C:\WINDOWS\system32\DRIVERS\dcfssvc.exe C:\Program Files\ewido anti-malware\ewidoctrl.exe C:\Program Files\ewido anti-malware\ewidoguard.exe C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Apoint\Apoint.exe C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Program Files\Dell\QuickSet\quickset.exe C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Program Files\QuickTime\qttask.exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\Microsoft AntiSpyware\gcasServ.exe C:\Program Files\Apoint\Apntex.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Chameleon Clock\ChamClock.exe C:\Program Files\Spy Sweeper\SpySweeper.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Program Files\PRMT6\PRMTED\EDLauncher.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\PRMT6\PRMTED\prmedsvr.exe C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Program Files\Digital Line Detect\DLG.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\JWINBO~1.INS\LOCALS~1\Temp\Rar$EX00.344\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ycomp/def.../search/ie.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://us.rd.yahoo.com/customize/ycomp/def...//www.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dell.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ycomp/def...//www.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by ISD R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn1\yt.dll O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [intelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe" O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [updateManager] "C:\Program Files\Common Files\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [winsysupd] c:\windows\winsysupd.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [incrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c O4 - HKCU\..\Run: [HomeAlarm] C:\Program Files\Chameleon Clock\ChamClock.exe O4 - HKCU\..\Run: [spySweeper] "C:\Program Files\Spy Sweeper\SpySweeper.exe" /0 O4 - HKCU\..\Run: [EDLauncher] C:\Program Files\PRMT6\PRMTED\EDLauncher.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [CU1] C:\Program Files\Common Files\VCClient\VCClient.exe O4 - HKCU\..\Run: [CU2] C:\Program Files\Common Files\VCClient\VCMain.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Digital Line Detect.lnk = ? O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1124374839531 O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMesse...pDownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = inside-isd.com O17 - HKLM\Software\..\Telephony: DomainName = inside-isd.com O17 - HKLM\System\CCS\Services\Tcpip\..\{8BEED798-DC27-4818-9FA8-2BBE925F4416}: NameServer = 207.69.188.187 207.69.188.186 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = inside-isd.com O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\system32\basfipm.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: dcfssvc (Dcfssvc) - Eastman Kodak Company - C:\WINDOWS\system32\DRIVERS\dcfssvc.exe O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE O23 - Service: ptssvc - Unknown owner - C:\Program Files\KODAK\KODAK Picture Transfer Software\PTSsvc.exe (file missing) O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 19 января, 2006 Жалоба Поделиться Опубликовано 19 января, 2006 Мой лог Два трояна все еще присутствуют в системе - winsysupd.exe и программа VCClient. И скорей всего сообщения об ошибках, которые вы получали, возникали из-за того, что были удалены необходимые для их работы файлы (VCClient - троян Downloader, который занимается тем, что закачивает на наш компьютер без вашего ведома другие вредоносные программы) и им, разумеется, это не нравится. 1. Поэтому убераем из автозагрузки следующее: Start > Run; вписать msconfig; нажать ОК и в последнем разделе (StartUp) напротив следующего нужно убрать галочки. c:\windows\winsysupd.exe C:\Program Files\Common Files\VCClient\VCClient.exe C:\Program Files\Common Files\VCClient\VCMain.exe Затем Apply и ОК. После чего перезагружаем компьютер. 2. Открываем HijackThis, делаем его скан и отмечаем галочкой следующее: R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file) O4 - Global Startup: Digital Line Detect.lnk = ? Этого уже не должно быть, но на всякий случай проверьте, и если присутствует, тоже отметьте галочкой: O4 - HKLM\..\Run: [winsysupd] c:\windows\winsysupd.exe O4 - HKCU\..\Run: [CU1] C:\Program Files\Common Files\VCClient\VCClient.exe O4 - HKCU\..\Run: [CU2] C:\Program Files\Common Files\VCClient\VCMain.exe Затем нажимаем на кнопку Fix Checked. 3. Находим и удаляем папку: C:\Program Files\Common Files\VCClient 4. Скачиваем KillBox.exe http://www.bleepingcomputer.com/files/spyware/KillBox.zip Распаковываем и с помощью него удаляем файл: c:\windows\winsysupd.exe Процедура удаления файла с помощью Killbox выполняеться следующим образом: В строку его окошка нужно скопировать точное местоположение файла (например, c:\secure32.html). Затем выбирите Delete on Reboot и нажмите на кнопку, которая выглядит как красный кружок с белым крестиком внутри. Перезагружаем компьютер. 5. Если после перезагрузки возникнут какие-либо проблемы с входом в интернет, то придется найти в папке Killbox тот файл, который мы удалили (winsysupd.exe) и вернуть его. Затем необходимо сообщить об этом мне, и тогда мы убьем его немного другим способом. Если же всё хорошо и подключение к интернету никуда не пропало, то можно смело удалить всю папку Killbox и спокойно расслабиться :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Pilar Опубликовано 19 января, 2006 Жалоба Поделиться Опубликовано 19 января, 2006 Огромное человеческое спасибо вам Saule!!!!!!!!!!!!!!!! Все работает!!!!!!!!!!!!! Во светлая голова у девушки :) Ссылка на комментарий Поделиться на другие сайты Поделиться
eXtranom Опубликовано 20 января, 2006 Жалоба Поделиться Опубликовано 20 января, 2006 Здравствуйте!! Уф, с этими холодами вообще все тормозится!!! И работа и компьютеры как то медленнее работают :D :D Спасибо большое за помощь Saule!!! Правда с первого раза не все получилось, но главное были удалены все левые файлы с компьютера, а там своими силами дочистили реестр и теперь все ОК!!! Главное пользователей все устраивает. Даже постарались вникнуть в процесс :-) Может конечно еще что там осталось - но визуально не определишь, а сейчас "дружественная" мне бухгалтерия закрыта из-за морозов. Еще раз спасибо Вам за участие в этой, ВЕЧНОЙ, теме! С уважением, Сергей. Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 20 января, 2006 Жалоба Поделиться Опубликовано 20 января, 2006 Может конечно еще что там осталось - но визуально не определишь, а сейчас "дружественная" мне бухгалтерия закрыта из-за морозов.Еще раз спасибо Вам за участие в этой, ВЕЧНОЙ, теме! С уважением, Сергей. Ок. Если будут какие-либо вопросы, смело спрашивайте, постараюсь помочь :D Ссылка на комментарий Поделиться на другие сайты Поделиться
sab322 Опубликовано 21 января, 2006 Жалоба Поделиться Опубликовано 21 января, 2006 Вчера узнал о том что у меня вирь живет уже около года- как лечить вроде понял, чем грозит его не лечение? особенно если стоит Outpost firewall и перезагрузка идет если только отключить файрвол Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения